回答編集履歴
2
設定ファイルについて追記
test
CHANGED
@@ -52,6 +52,6 @@
|
|
52
52
|
|
53
53
|
auditctl で設定したルールは auditd を再起動すると消えてしまいます。
|
54
54
|
|
55
|
-
auditd 起動時に有効にするには /etc/audit/rules.d/audit.rules などに設定します。
|
55
|
+
auditd 起動時に有効にするには /etc/audit/audit.rules に設定(または、/etc/audit/rules.d/audit.rules などに設定後、augenrules 実行)します。
|
56
56
|
|
57
57
|
|
1
audit を使う方法を追記
test
CHANGED
@@ -1,3 +1,57 @@
|
|
1
1
|
`/proc/$PID/cmdline` でわかりませんでしょうか。
|
2
2
|
|
3
3
|
`\0` 区切りです。
|
4
|
+
|
5
|
+
|
6
|
+
|
7
|
+
###(2015/11/23 追記)
|
8
|
+
|
9
|
+
Linux ならば audit を使って監査ログを取る方法が考えられます。
|
10
|
+
|
11
|
+
```
|
12
|
+
|
13
|
+
(CentOS 7 の場合の例)
|
14
|
+
|
15
|
+
# systemctl start auditd // auditd サービスを起動
|
16
|
+
|
17
|
+
# auditctl -w /usr/bin/perl -p x // /usr/bin/perl が実行されたら監査ログに記録
|
18
|
+
|
19
|
+
# /root/test.pl & // perl スクリプト実行
|
20
|
+
|
21
|
+
|
22
|
+
|
23
|
+
# ausearch -p (PID)
|
24
|
+
|
25
|
+
または
|
26
|
+
|
27
|
+
# ausearch -x /usr/bin/perl
|
28
|
+
|
29
|
+
|
30
|
+
|
31
|
+
time->Mon Nov 23 09:24:36 2015
|
32
|
+
|
33
|
+
type=PATH msg=audit(1448238276.515:61): item=2 name=(null) inode=16879080 dev=fd:00 mode=0100755 ouid=0 ogid=0 rdev=00:00 objtype=NORMAL
|
34
|
+
|
35
|
+
type=PATH msg=audit(1448238276.515:61): item=1 name=(null) inode=9571154 dev=fd:00 mode=0100755 ouid=0 ogid=0 rdev=00:00 objtype=NORMAL
|
36
|
+
|
37
|
+
type=PATH msg=audit(1448238276.515:61): item=0 name="/root/test.pl" inode=18699758 dev=fd:00 mode=0100755 ouid=0 ogid=0 rdev=00:00 objtype=NORMAL
|
38
|
+
|
39
|
+
type=CWD msg=audit(1448238276.515:61): cwd="/"
|
40
|
+
|
41
|
+
type=EXECVE msg=audit(1448238276.515:61): argc=2 a0="/usr/bin/perl" a1="/root/test.pl"
|
42
|
+
|
43
|
+
type=SYSCALL msg=audit(1448238276.515:61): arch=c000003e syscall=59 success=yes exit=0 a0=13d0880 a1=13c24e0 a2=13ab200 a3=7fff38785730 items=3 ppid=839 pid=1015 auid=0 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=pts0 ses=1 comm="test.pl" exe="/usr/bin/perl" key=(null)
|
44
|
+
|
45
|
+
// PATH や EXECVE の引数がわかる。
|
46
|
+
|
47
|
+
```
|
48
|
+
|
49
|
+
ただし、既に起動しているプロセスには使えません。
|
50
|
+
|
51
|
+
|
52
|
+
|
53
|
+
auditctl で設定したルールは auditd を再起動すると消えてしまいます。
|
54
|
+
|
55
|
+
auditd 起動時に有効にするには /etc/audit/rules.d/audit.rules などに設定します。
|
56
|
+
|
57
|
+
|